Partager via


Gestion des certificats TLS pour les écouteurs

Les certificats TLS/SSL d’écouteur dans Application Gateway sont utilisés pour mettre fin à la connexion TLS du client sur la passerelle. Cette fonction est analogue au chargement d’un certificat sur un serveur web pour prendre en charge les connexions TLS/HTTPS à partir de clients/navigateurs.

Structure des certificats TLS

Les certificats TLS/SSL sur une passerelle applicative sont stockés dans des objets ou conteneurs de certificats locaux. La référence de ce conteneur de certificats est ensuite fournie aux écouteurs pour prendre en charge les connexions TLS pour les clients. Examinez cette illustration pour mieux comprendre.

Diagramme montrant comment les certificats sont liés à un écouteur.

Voici un exemple de configuration de passerelle applicative. La propriété SSLCertificates inclut l’objet de certificat « contoso-agw-cert » lié à un coffre de clés. « listener1 » fait référence à cet objet de certificat.

Présentation de la section du portail

Certificats SSL d’écouteur

Cette section vous permet de lister tous les objets de certificat SSL présents sur votre passerelle applicative. Cette vue est équivalente à l’exécution de la commande PowerShell Get-AzApplicationGatewaySslCertificate -ApplicationGateway $AppGW ou de la commande CLI az network application-gateway ssl-cert list --gateway-name --resource-group.

Le diagramme illustre la gestion des certificats de l’écouteur via le portail.

Cette page vous donne un récapitulatif rapide de tous les certificats, de leurs types et de leur association avec les écouteurs.

Types de certificats SSL

  1. key Vault : Vous pouvez stocker votre ou vos certificats PFX dans Azure Key Vault, un service de stockage de certificats managé qui permet des contrôles d’accès étroits et bien plus encore. Découvrez l’intégration à Key Vault.

  2. Chargé : Fournissez un certificat PFX directement dans votre passerelle applicative. Nécessite également un mot de passe de certificat.

Modification d’un certificat SSL

En mode liste, vous pouvez sélectionner le nom du certificat ou l’option de menu des trois points de suspension pour accéder à la page Modifier. L’option de modification est utile pour les cas d’usage suivants.

  • Changement de l’association d’un certificat avec un coffre de clés – Vous pouvez changer la référence d’un certificat en remplaçant une ressource de coffre de clés par une autre. Dans ce cas, vérifiez que l’identité managée affectée par l’utilisateur de votre passerelle applicative dispose de contrôles d’accès suffisants sur le nouveau coffre de clés.

  • Renouvellement d’un certificat chargé – Lorsqu’un certificat chargé existant doit être renouvelé, vous pouvez charger un nouveau fichier PFX sur l’objet de certificat existant de votre passerelle applicative.

  • Remplacement du type de certificat « coffre de clés » par « chargé » (ou vice versa) – Vous pouvez facilement transférer votre provision de certificat de celle stockée sur votre passerelle applicative vers le service Key Vault conçu à cet effet.

Remarque

Un changement apporté dans le certificat associé à plusieurs écouteurs est reflété dans tous les écouteurs. Vous pouvez afficher les informations de chaque écouteur pour identifier les écouteurs associés.

Suppression d’un certificat SSL

Il existe deux principaux scénarios lors de la suppression d’un certificat du portail :

  1. Certificat SSL sans association avec des écouteurs – Ces certificats ne sont utilisés par aucun écouteur et peuvent être supprimés directement.
  2. Certificat SSL avec un écouteur associé – Selon la configuration de votre passerelle applicative, ces sous-ressources pourraient être affectées.
Sous-ressource Impact
Certificat Le certificat lui-même est supprimé.
Port d'écoute L’écouteur est supprimé si un certificat lui est associé.
Règle Si une règle est associée à un écouteur, l’écouteur et la règle sont supprimés.
Redirection Si une redirection est configurée avec une règle, la redirection associée est également supprimée.
Port Le port associé à l’écouteur est mis à jour pour refléter le nouvel état.
Adresse IP du front-end L’adresse IP front-end de la passerelle est mise à jour pour refléter le nouvel état.

Suppression d’un écouteur avec un certificat SSL

Lorsqu’un écouteur avec un certificat SSL associé est supprimé, le certificat SSL lui-même n’est pas supprimé. Le certificat reste dans la configuration de la passerelle applicative et peut être affecté à un autre écouteur.

Suppression d’un certificat de coffre de clés

Lors de la suppression d’un certificat d’un coffre de clés associé à une passerelle applicative, vous devez d’abord supprimer le certificat de la passerelle applicative, puis du coffre de clés.

Mise à jour par lot

La fonctionnalité d’opération en bloc est utile pour les grandes passerelles ayant plusieurs certificats SSL pour des écouteurs distincts. Comme pour la gestion individuelle des certificats, cette option vous permet également de remplacer le type « Chargé » par « Key Vault » ou vice versa (si nécessaire). Cet utilitaire peut également aider à récupérer une passerelle lorsque vous rencontrez des configurations incorrectes pour plusieurs objets de certificat simultanément.

Pour utiliser l’option de mise à jour en bloc

  1. Choisissez les certificats à mettre à jour en utilisant les cases à cocher, puis sélectionnez l’option de menu « Mise à jour en bloc ».

  2. Dans la page suivante, vous pouvez modifier les paramètres de chaque certificat si nécessaire. En fonction de votre sélection à l’étape 1, vous verrez différentes options pour l’étape 2 et l’étape 3. Par conséquent, il est préférable de procéder étape par étape pour chaque ligne de certificat. Les certificats que vous voyez ici correspondent à votre sélection. Vous pouvez utiliser l’option de menu des trois points de suspension pour supprimer un certificat sélectionné par erreur dans la liste.

  3. Une fois tous les paramètres mis à jour, sélectionnez Enregistrer.

Remarque

Tenez compte des écouteurs associés à chaque certificat lors d’une modification en bloc. Selon votre configuration, cette seule opération peut mettre à jour plusieurs certificats et bien plus d’écouteurs. Reportez-vous au panneau d’informations sur le certificat individuel pour identifier les écouteurs associés.

Mises en garde

  1. Vous ne pouvez pas supprimer un objet de certificat si son écouteur associé est une cible de redirection pour un autre écouteur. Toute tentative à cet égard retourne l’erreur suivante. Vous pouvez d’abord supprimer la redirection ou supprimer l’écouteur dépendant pour résoudre ce problème. The listener associated with this certificate is configured as the redirection target for another listener. You will need to either remove this redirection or delete the redirected listener first to allow deletion of this certificate.

  2. La passerelle applicative nécessite au moins une combinaison Écouteur/Règle active. Vous ne pouvez donc pas supprimer le certificat d’un écouteur HTTPS s’il n’existe aucun autre écouteur actif. C’est également vrai s’il existe uniquement des écouteurs HTTPS sur votre passerelle, et tous font référence au même certificat. Ces opérations sont bloquées, car la suppression d’un certificat entraîne la suppression de toutes les sous-ressources dépendantes.

  3. Si un certificat est supprimé dans le coffre de clés, mais que la référence au certificat dans Application Gateway n’est pas supprimée, Application Gateway apparaît dans un état d’échec après une mise à jour. Pour résoudre ce problème, vous devez supprimer un à un tous les certificats sans écouteur associé.

Étapes suivantes

Découvrir